techleakszone 🔥 15 Visites

Deux projets GitHub : deux contacts, une journée riche en opportunités

Deux projets GitHub : deux contacts, une journée riche en opportunités

Une Campagne de Malware Émerge via GitHub : Analyse d'une Tactique Innovante

Récemment, deux professionnels de la sécurité ont signalé des activités suspectes sur GitHub, attirant l'attention sur deux projets distincts. "Tito" m'a contacté directement via message privé au sujet d'un commentaire sur GitHub relatif à un patch pour un projet nommé "synara". Parallèlement, "Robert Z" a signalé un cas similaire sur un autre projet. Ces événements soulèvent des questions sur la sécurité des utilisateurs et des projets open source sur cette plateforme.

Les Indications Préliminaires

Une investigation plus approfondie a révélé un schéma inquiétant : plusieurs noms de fichiers liés à des patches malveillants ont été découverts en ligne, notamment :

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Ces fichiers, apparemment innocents, cachent un programme écrit en langage Go, qui, lorsqu'il est exécuté, établit une connexion vers un hôte distant identifié comme étant une chaîne Telegram. La description de ce canal Telegram inclut un site web, servant de destination pour l'exfiltration de code malveillant.

Une Tactique Évolutive

La campagne semble avoir débuté le 7 juillet et se propage rapidement. Plus détaillé, le mécanisme employé par les acteurs malveillants consiste à créer de faux comptes sur GitHub. Avec ces comptes, ils ouvrent des « issues » pour poster des commentaires prétendant avoir trouvé des patches. Il est fort probable que cette activité soit automatisée, ce qui facilite la diffusion à grande échelle de ce malware.

La Technique Derrière le Malware

En inspectant le binaire du malware, il devient évident qu'il fonctionne comme un résolveur DNS alterné : il utilise Telegram pour stocker temporairement des informations et peut facilement changer la description du canal pour rediriger vers un autre site en cas de suppression de l'URL précédente. Cela rend difficile la traçabilité et la suppression rapide du malware.

Identification et Caractéristiques du Malware

D'après les identifiants YARA, ce malware est identifié comme étant "StealC". Son utilisation innovante d'un spam sur GitHub couplé à un résolveur DNS non conventionnel sur Telegram illustre une approche astucieuse et adaptative des cybercriminels. Étant donné que la réaction de Telegram aux demandes de retrait est souvent lente, cela permet au malware de rester opérationnel bien plus longtemps.

Résumé de la Situation

Élément Détails
Type de Malware StealC
Langage de Programmation Go
Date de Début de la Campagne 7 juillet
Plateforme Utilisée GitHub, Telegram
Stratégie de Dissémination Comptes falsifiés sur GitHub, spam
Mécanisme d'Exfiltration Site web dans la description Telegram

Dans ce contexte, il est crucial que les utilisateurs et les développeurs sur GitHub restent vigilants et prennent des mesures proactives pour sécuriser leurs projets. La vigilance face à ces menaces émergentes est essentielle pour maintenir l'intégrité de l'écosystème open source.